DirtyMoe 惡意軟件

受幾種不同加密貨幣更令人印象深刻的價值增長的刺激，人氣迅速上升，使以前的利基行業成為公眾關注的焦點。威脅行為者也注意到了這一趨勢，並迅速將他們的行動轉向了濫用這一趨勢。許多殭屍網絡和惡意軟件工具被創建或配備了加密挖掘功能。然後，威脅行為者可以劫持數千個受感染系統的資源，並使用它們來挖掘特定加密貨幣的硬幣。 DirtyMoe 惡意軟件是此類最新、最複雜的惡意軟件工具之一。到目前為止，該威脅已被用於針對俄羅斯的目標，但在歐洲和亞洲國家也發現了受害者。據信息安全研究人員稱，目前有近十萬台感染了 DirtyMoe 的機器處於活動狀態。

DirtyMoe 的初始版本由信息安全研究人員以NuggetPhantom的名義進行跟踪，它們通常不穩定並且很容易被網絡安全產品捕獲。然而，從那時起，惡意軟件經歷了重大演變，現在是一種難以捉摸的模塊化威脅，展示了多種反檢測和反分析技術。

DirtyMoe 的攻擊鏈始於黑客尋找易受多種攻擊的受害者。其中之一是臭名昭著的EternalBlue (CVE-2017-0144) 漏洞，該漏洞於 2017 年出現，但顯然，仍有足夠多的不安全系統讓威脅參與者發現繼續在其有害操作中濫用它是值得的。 DirtyMoe 青睞的另一個漏洞是在 Internet Explorer 中發現的腳本引擎內存損壞漏洞 (CVE-2020-0674)。受害者被包含不安全 URL 的網絡釣魚電子郵件引誘。

模塊化結構

DirtyMoe 惡意軟件的主要特徵是其模塊化。主要組件是 DirtyMoe Core。它負責下載、更新、加密、創建備份和保護 DirtyMoe 威脅。 Core 還負責將損壞的代碼提供給 DirtyMoe Executioner，然後，顧名思義，它會執行它。注入的代碼被命名為 MOE 對像或模塊，並從操作的命令和控制服務器獲取。

惡意軟件威脅的特定行為可以進一步調整以適應威脅參與者的目標。網絡犯罪分子可以命令 DirtyMoe 下載帶有所需功能的加密負載，然後將其註入自身。在幾個小時內，可以通過這種方式修改數千個 DirtyMoe 實例。事實上，DirtyMoe 可用於發起 DDoS 攻擊、執行加密挖掘活動或提供額外的威脅有效載荷，例如數據收集器、勒索軟件、特洛伊木馬程序等。

強大的隱藏和自衛能力

DirtyMoe 使用 VMProtect 來保護其主要威脅核心。它還利用了一個 Windows 驅動程序，該驅動程序展示了 rootkit 中常見的多種功能，例如服務、註冊表項和驅動程序隱藏。可以進一步指示驅動程序隱藏受感染機器系統卷上的特定文件或將任意 DLL 注入任何新創建的進程。網絡通信也是通過一種有效的技術來實現的。該威脅攜帶一組硬編碼的 DNS 服務器，用於向一個硬編碼的域發出 DNS 請求。但是，對於最終的 IP 地址和端口，DirtyMoe 使用不同的 DNS 請求序列。結果，DirtyMoe 變得抗拒其最終 IP 被阻止。阻止對 DNS 服務器（例如 Google、Cloudflare 和類似服務）的 DNS 請求實際上也是不現實的。